La certification et les codes de conduite

19 décembre 2018

La certification et les codes de conduite constituent de véritables sceaux de confiance, qui résultent d’une initiative de la CNIL ou d’un secteur professionnel.

La certification

C’est une procédure par laquelle un organisme d’évaluation externe appelé également tiers certificateur va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel. La loi donne à la CNIL un pouvoir de certification plus étendu que celui prévu par le RGPD en ce qui concerne la certification de personnes (exemple le référentiel de certification des compétences du DPO). La CNIL peut directement certifier des organismes et agréer des organismes certificateurs ou, selon les cas, choisir de collaborer avec le Comité Français d’Accréditation (COFRAC). La certification est contraignante, elle donne lieu à un contrôle régulier, par le tiers certificateur, du respect du référentiel via des audits et des examens et doit être renouvelée.

En savoir plus

Qu’est-ce que la certification ?

La certification est la procédure, prévue par les articles 42 et 43 du Règlement général sur la protection des données (RGPD), permettant à un professionnel de demander à un organisme tiers d’attester de la conformité de son produit, processus, service ou de ses compétences à des caractéristiques décrites dans un référentiel donné.

L’organisme tiers, aussi appelé tiers certificateur, doit justifier de son indépendance et de son impartialité. Pour ce faire, le RGPD prévoit deux types de procédures :

L’obtention d’un agrément auprès de la CNIL après avoir démontré so indépendance et son expertise sur la base d’un référentiel établi par la CNIL.
L‘obtention d’une accréditation, auprès du Comité français de l’accréditation (COFRAC). L’impartialité et la compétence du tiers sont également évaluées sur la base d’un référentiel d’accréditation constitué des exigences prévues dans la norme ISO 17065 ainsi que des exigences supplémentaires établies par la CNIL.

Le RGPD et la loi Informatique et Liberté prévoient deux types de référentiels :

Le référentiel d’agrément ou d’accréditation qui est utilisé par la CNIL ou par le COFRAC pour évaluer des organismes certificateurs.

Le référentiel de certification qui est utilisé par les organismes certificateurs pour évaluer des produits, procédés, services ou encore des personnes.

A quoi sert la certification ?

Un organisme qui a obtenu la certification d’un produit ou d’un service peut utiliser celle-ci pour démontrer que l’opération de traitement concernée par la certification respecte le règlement.

Exemples :

L’application par un sous-traitant d’un mécanisme de certification lui permettra de justifier auprès de ses donneurs d’ordre de garanties suffisantes quant à la mise en œuvre de mesures techniques et opérationnelles conformes aux exigences du RGPD.

Un organisme qui souhaite mettre en œuvre un traitement dans une logique de conception et protection des données par défaut pourra utilement s’appuyer sur un mécanisme de certification.

Une demande de certification peut être formulée par tout organisme souhaitant démontrer que les traitements de données qu’il met en œuvre par le biais d’un de ses produit ou service sont conformes au RGPD. Il est néanmoins nécessaire qu’un référentiel de certification approprié existe.

La loi Informatique et Libertés a complété les dispositions du RGPD en permettant à la CNIL de certifier des personnes. A ce titre, elle a adopté deux référentiels en matière d’agrément et de certification relatifs aux compétences des délégués à la protection des données (DPO).

Exercer une activité de certificateur en matière de protection des données ?

La procédure à suivre variera selon le schéma de certification déterminé au niveau national (accréditation par le COFRAC ou agrément par la CNIL) pour le traitement concerné. Dans toutes ces hypothèses, le service des Outils de la conformité de la CNIL pourra vous guider dans votre projet relatif à la certification.

Pour toute question contactez le service des outils de la conformité.

Quel calendrier pour les lignes directrices européennes ?

Les lignes directrices relatives aux mécanismes d’accréditation et de certification sont actuellement en cours d’élaboration par le Comité européen de la protection des données (CEPD). La version finale des lignes directrices du CEPD relatives à l’accréditation devrait être adoptée en décembre 2018, et celle relative à la certification devrait être adoptée en janvier 2019.

La CNIL communiquera toutes les informations utiles sur son site internet lorsque ces mécanismes seront opérationnels.

Les codes de conduite

Ils sont élaborés par les acteurs professionnels (fédérations, organisations professionnelles). Ils traduisent une application concrète de la réglementation sur la protection des données à un secteur d’activité donné et se composent de bonnes pratiques (durée de conservation, mention d’information, modes opératoires…). Un organisme peut librement adhérer à un code de conduite. Le RGPD prévoit qu’un organisme tiers sera chargé de contrôler le respect d’un code ce qui confère à cet outil de conformité un caractère contraignant. Les codes de conduites peuvent être européens ou nationaux, dans ce dernier cas la CNIL validera leur contenu avant de les publier.

En savoir plus

Qu’est-ce qu’un code de conduite ?

Le code de conduite est un outil de conformité prévu par les articles 40 et 41 du Règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).

Cet outil est destiné à faciliter la bonne application des dispositions du règlement, compte tenu des spécificités des traitements effectués dans un secteur et des besoins spécifiques des micros, petites et moyennes entreprises.

Pourquoi rédiger un code de conduite ?

Le code de conduite permet :

d’envoyer un signal positif aux clients et aux professionnels d’un secteur ;
de construire un socle commun de bonnes pratiques en matière de protection des données, juridiquement contraignant ;
d’harmoniser les pratiques d’un secteur
de répondre aux besoins des micros, petites et moyennes entreprise dans leur démarche de mise en conformité, en les aidant à bâtir des traitements conformes au RGPD.

Qui peut rédiger un code de conduite ?

La décision d’élaborer un code de conduite relève d’une démarche sectorielle qui doit être initiée par des associations, fédérations, ou des organismes représentant des catégories de responsables de traitement ou de sous-traitants.

En pratique, cette démarche peut se traduire par la mise en place d’un groupe de travail réunissant quelques responsables de traitements et/ou de sous-traitants. La participation de délégués à la protection de données sera un atout.

Quel doit être son contenu ?

Il ne peut se contenter de reprendre les dispositions du RGPD mais doit les traduire de manière opérationnelle et adaptée pour répondre aux besoins et problématiques du domaine d’activité, qui doivent être recensés, identifiés et qualifiés.

Il doit ainsi apporter des propositions concrètes sous forme, par exemple :

de fiches thématiques, dédiées aux traitements de données mis en œuvre par les organismes du secteur concerné, expliquant concrètement ce qui doit être fait (quelles données collecter en fonction des différents cas d’usage envisagés, combien de temps les conserver, etc.)
de modèles de mentions d’information adaptées au public concerné ou encore de modalités pratiques d’exercice de leurs droits par les personnes.
des recommandations concrètes sur les mesures de sécurité à appliquer après une étude des risques liées aux traitements.

Le recueil de l’avis des professionnels du secteur est indispensable pour relever les difficultés rencontrées par le secteur dans la mise en œuvre des principes informatique et libertés.

Des lignes directrices européennes relatives aux codes de conduite sont actuellement en cours d’élaboration par le Comité européen de la protection des données (CEPD).

Quel accompagnement par la CNIL ?

Les travaux de conception et de rédaction d’un code de conduite sont effectués par les représentants du secteur concerné. Pendant cette phase préparatoire, les services de la Commission vous accompagnent dans les différentes étapes d’élaboration, sous la forme d’une demande de conseil.

Pour toute question sur la méthodologie applicable contactez le service des outils de la conformité.

Comment faire approuver le code de conduite par la CNIL ou le CEPD ?

Le projet de code finalisé peut être adressé à la CNIL via un téléservice dédié (à venir) sur notre site web.

Si le projet de code est national, la CNIL rend un avis sur la conformité au RGPD du projet, elle l’approuve et le publie.
Si le projet de code est européen il doit être communiqué à la CNIL qui le soumettra à l’avis du Comité européen de la protection des données (CEPD). Le CEPD soumet ensuite son avis à la Commission Européenne qui décide de l’application de ce code au sein de l’Union européenne et publie le code de conduite.

La labellisation

Avec l’entrée en application prochaine du règlement européen à la protection des données (RGPD), la CNIL met progressivement fin à son activité de labellisation. Les labels délivrés antérieurement au 25 mai 2018 restent valables trois ans après leur date de délivrance.

Pour en savoir plus : lien vers la page dédiée aux labels.

Les mots clés associés à cet article

#Certification

Ceci peut également vous intéresser ...

Certification des compétences du DPO : la CNIL adopte deux référentiels

11 octobre 2018

Certification

Vers une certification européenne en matière de protection des données

La CNIL a organisé un atelier de travail le 30 mars 2017 auquel ont participé 19 autorités européennes de protection des données, le Contrôleur européen de la protection des...

28 avril 2017

Certification